Москва, 3 декабря 2009 г. LETA IT-company – ведущий российский оператор типизированных ИТ-услуг – провела в Школе IT-менеджмента Академии народного хозяйства при Правительстве РФ (http://www.itmane.ru) мастер-класс «Защита персональных данных: как выжить после 1 января 2010 года». Этот мастер-класс, первый по теме защиты ПДн, собрал более трехсот слушателей различных программ Школы IT-менеджмента и других структурных подразделений и бизнес-школ Академии народного хозяйства при Правительстве РФ, а также представителей крупных коммерческих предприятий: ABBYY, Beeline, Nike, UTair, BNP Paribas Group, DEPO Computers, Mercury, «М-Видео», «ИНКОМ-Недвижимость» и др. При этом аудитория, в основном, состояла из генеральных и исполнительных директоров, ИТ-директоров и начальников крупных отделов автоматизации, руководителей проектов, HR-специалистов и юристов.
Столь представительный состав участников свидетельствует о том, что российский бизнес уделяет самое серьезное внимание требованиям Федерального закона №152 «О персональных данных». Этот интерес нисколько не ослабевает в связи с возможным переносом на год предписанного законом срока внедрения систем защиты персональных данных (ПДн). Многие операторы ПДн только во втором полугодии осознали уровень разветвленности нормативной базы и масштаб рисков, связанных с невыполнением ее требований. В итоге, возникло понимание сложности, важности и длительности соответствующих проектов, а также необходимости привлечения к ним профессиональных консультантов, серьезно специализирующихся в этой сфере. Однако даже самый поверхностный анализ рынка показал таким операторам, что ограниченность ресурсной базы высококвалифицированных компаний-исполнителей и невозможность ее быстрого расширения уже стали основными факторами, лимитирующими число возможных проектов в масштабах всего рынка. Ожидаемый в 2010 году значительный рост числа заказчиков только обострит эту ситуацию. Причем появление на рынке многочисленных новых предложений создает реальную угрозу «кризиса качества» и потери времени, финансовых ресурсов и репутации. Соответственно, выработка правильной стратегии на 2010 год, учитывающей все указанные обстоятельства, становится для российских операторов персональных данных одной из наиболее острых задач в области информационной безопасности и менеджмента рисков.
Подобная ситуация на рынке была подтверждена статистикой, полученной от слушателей мастер-класса (более 120 анкет). По собранным данным, в 39% компаний проекты по защите персональных данных уже начаты, в 14% находятся на стадии реализации, в 4% – на стадии завершения. В то же время, 22% предприятий еще не запустили проекты по реализации требований №152-ФЗ т.к. ожидают обновленных нормативных актов и последних уточнений законодательной базы, 16% собираются инициировать работу по защите ПДн в ближайшее время, 9% не имеют бюджета, а 5% не видят в таких проектах необходимости. Картина вовлеченности в проекты по защите ПДн различных подразделений однородна для большинства компаний: у 80% организаций в таких проектах участвует ИТ-служба, у 47% – юридическая служба, у 44% – руководящий состав, у 44% – отдел персонала, у 40% – служба безопасности. При этом в 73% анкет был высказан интерес к посещению других специализированных мероприятий по теме персональных данных. Отметим, что сведения, полученные от слушателей мастер-класса, достаточно точно отражают тенденции, характерные для российского рынка в целом.
Мастер-класс «Защита персональных данных: как выжить после 1 января 2010 года» провели два ведущих участника экспертной команды LETA в области защиты персональных данных – Вениамин Левцов, под непосредственным руководством которого в компании было создано соответствующее бизнес-направление, и Александр Бондаренко, руководитель отдела внешнего аудита и консалтинга. Лейтмотивом обоих докладов стала всесторонняя теоретическая проработка обсуждаемой проблемы в соединении с практическими рекомендациями, прошедшими проверку в реальных проектах LETA IT-company, и примерами из таких проектов. По мнению компании, сегодня наиболее востребован именно такой подход.
Вениамин Левцов основное внимание уделил анализу всего правового поля в сфере защиты ПДн, вычленив конкретные области законодательства, реализация которых обычно вызывает наибольшие проблемы. Не менее детально были рассмотрены наиболее вероятные изменения нормативной базы и их влияние на выбор оптимальной стратегии внедрения систем защиты персональных данных. При этом г-н Левцов рассмотрел наиболее спорные и противоречивые положения закона, а также эффективные стратегии оператора ПДн. В связи с возможным переносом срока приведения информационных систем в соответствие требованиям закона №152-ФЗ (проект изменений в закон № 284213-5 – поправка, принятая Госдумой в первом чтении) эта тема стала исключительно актуальной как для относительно немногочисленных операторов ПДн, которые уже завершили или ведут соответствующие проекты, так и для подавляющего большинства организаций, которые находятся на стадии принятия решения или бюджетного планирования.
Г-н Левцов особо разобрал одну из наиболее популярных стратегий – невыполнение оператором персональных данных требований нормативной базы. Основой этой стратегии обычно служит уверенность оператора в возможности юридического обоснования такого решения. Еще одной важнейшей темой стала подготовка компаний к проверкам со стороны регуляторов. В частности, были представлены реальные примеры юридически корректного понижения классности систем персональных данных.
Реализация организацией своей стратегии в области защиты персональных данных со временем приводит к следующему важнейшему шагу – выполнению реального проекта по созданию работающей системы защиты ПДн. И здесь, как показывает опыт проектов LETA IT-company, решающее значение для успеха проекта приобретают выстраивание правильной иерархии целей и особая организация работ. Однако в сфере защиты ПДн эти типичные для любого проекта задачи наполняются особым содержанием. С одной стороны, оператор должен учитывать многие вопросы, с которыми сталкивается впервые (например, отнесение ИСПДн к определенному классу защиты и обоснованное понижение класса в результате некритических изменений в технологии работы с персональными данными; составление модели угроз; правильное с точки зрения закона взаимодействие с регулирующими органами и лицами, чьи персональные данные хранятся и обрабатываются в ИСПДн). С другой стороны, требуют пересмотра и уточнения многие традиционные приемы ведения ИБ-проектов (выбор исполнителя, предпроектное обследование ИС, выбор границ этапов, промежуточный и итоговый контроль качества, сопровождение внедренной системы и мн.др.). Именно этой теме уделил основное внимание Александр Бондаренко. Подчеркнем, что представленный подход прошел всестороннюю проверку в многочисленных выполненных и реализуемых в настоящее время проектах LETA IT-company по защите ПДн в крупных организациях-лидерах различных отраслей российской экономики.
Отметим, что участники мастер-класса получили значительный объем информации практически по всем аспектам защиты персональных данных. Компания LETA уделила большое внимание тщательному отбору и структурированию информации, а также упрощению усвоения материала. Так, каждый участник получил брошюру «Как защитить персональные данные» с подборкой лучших статей экспертов LETA по теме мастер-класса, опубликованных в ведущих российских СМИ. Кроме того, компания опиралась на собственные методические разработки, выполненные в рамках программы информационного развития рынка защиты персональных данных (программа стартовала весной 2009 года), а также подготовки учебной программы Международного университета информационной безопасности по специальности «Стандарты и госрегулирование в области ИБ» (инвестиционная группа LETA Group открыла проект по созданию Университета летом 2009 года). Презентации, использованные при проведении мастер-класса, а также комментарии к нему LETA IT-company размещены в блоге компании: http://letablog.livejournal.com/1554.html. Видеозапись ключевых моментов докладов можно посмотреть на странице http://www.leta.ru/press-center/tv/leta-on-tv_27.html.
«Наша Школа уже более шести лет проводит мастер-классы, обычно, 6-8 раз в год. Мы стараемся выбирать для них наиболее сложные и актуальные темы, интересующие IT и бизнес, а в качестве ведущих привлекать признанных экспертов, сочетающих широкие теоретические знания, опыт участия в реальных проектах и педагогическое мастерство, – говорит Александр Соколов, директор Школы IT-менеджмента АНХ. – В этом году выбор темы для ноябрьского мастер-класса был практически очевиден, т.к. сегодня ни одна тема не будоражит так, как персональные данные. Это еще и чрезвычайно сложная тема, в которой технические, организационные и юридические вопросы связаны в такой тугой узел, окутаны таким плотным туманом мифов и заблуждений, что совсем не просто было найти тех, кто всего за два часа может распутать этот клубок и «разложить по полочкам» огромный объем совершенно разноплановой информации. Хочу сказать, что задача была блестяще решена экспертами компании LETA. Мастер-класс вызвал огромный интерес среди слушателей Академии, и мы получили большое количество благодарственных отзывов от участников мероприятия».
«Профессиональное сообщество устало обсуждать проблемы действующего законодательства о персональных данных. За год с небольшим практика ведения проектов в этой сфере, разработка и вывод на рынок услуг по защите данных, анализ нормативной базы, постоянное общение с коллегами из других компаний привели нас к твердому убеждению, что у опытных консультантов ответы на большинство вопросов защиты ПДн уже существуют. Причем в форме отработанных технологий, – говорит Вениамин Левцов, директор по развитию бизнеса LETA IT-company. – Но мы так же ясно видим, как трудно эта информация проникает в среду операторов ПДн, как мала доля компаний, которые запустили реальные проекты, как сильны еще заблуждения. И как они опасны. Компания LETA благодарна Школе IT-менеджмента АНХ за возможность провести мастер-класс. Мы уверены, что это – отличный способ донести до многих российских организаций столь важную для них информацию. Надеюсь, что участники мастер-класса теперь гораздо лучше подготовлены к выработке оптимальной стратегии и ее практической реализации. И еще я думаю, что пришло время открыто обозначить пробелы в законодательстве и откровенно устаревшие нормы, без устранения которых защита персональных данных превращается лишь в видимость и, главное, – теряет жизнеспособность».
О LETA IT-company
LETA IT-company (www.leta.ru) – первый российский оператор типизированных ИТ-услуг, обеспечивающий заказчикам комплексные решения в области информационной безопасности. LETA IT-company является лидером российского рынка защиты от утечек информации (по данным обозрения CNews «Защита информации и бизнеса от инсайдеров 2007») и занимает 3 место среди крупнейших ИТ-компаний России в сфере защиты информации (по итогам рейтинга CNews Security 2007 в рамках обзора «Средства защиты информации и бизнеса 2008»).
За дополнительной информацией обращайтесь:
Мария Кузнецова
Тел: +7 (495) 921 1410
E-mail: [email protected]